¿Qué implementaciones de .NET / C # bcrypt se consideran adecuadas para los entornos de producción?
He visto que CryptSharp y BCrypt.Net se mencionan en las respuestas a otras preguntas, pero sin ninguna discusión sobre qué tan ampliamente se usan o cuánto pueden haber sido revisadas.
C # comparte con Java una característica notable, que es reproducible . Ese es el lema de Java "escribir una vez, ejecutar en cualquier lugar". No es del todo cierto, pero para el código que:
entonces las pruebas son efectivas. Esto significa que puede tomar la implementación BCrypt.NET y ver si es compatible con el código de referencia . Tenga cuidado de incluir pruebas con caracteres de contraseña que no sean ASCII, que a menudo son un punto delicado. Además, mida el rendimiento para asegurarse de que la implementación de .NET no sea demasiado lenta (para este tipo de tareas computacionales, se puede esperar que el código Java o .NET sea aproximadamente 2 a 4 veces más lento que el código C).
Si la implementación de .NET es compatible con el código de referencia, y su rendimiento no es abismal, entonces el aspecto de "resultados reproducibles" de C # / .NET le permitirá concluir que está listo para la producción.
Estoy consciente de que esto realmente no responde a tu pregunta, pero bcrypt no es (en mi opinión) el mejor mecanismo de hashing de contraseñas.
Puede encontrar una implementación de c # de un mecanismo de hashing de contraseña utilizando PBKDF2 aquí: CrackStation
Aunque es mucho más joven, he oído cosas buenas sobre scrypt scrypt de TarSnap Desafortunadamente, no he tenido mucho éxito en encontrar una buena implementación de .net.